Атака по связанным ключам

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален.
Найти источники: «Атака по связанным клавишам» - новости · газеты · книги · ученый · JSTOR ( сентябрь 2014 г. ) ( Узнайте, как и когда удалить это шаблонное сообщение )

В криптографии атака с использованием связанных ключей - это любая форма криптоанализа, при которой злоумышленник может наблюдать за работой шифра с несколькими разными ключами , значения которых изначально неизвестны, но при этом злоумышленнику известна некоторая математическая взаимосвязь, связывающая ключи. Например, злоумышленник может знать, что последние 80 бит ключей всегда одинаковы, даже если он сначала не знает, что это за биты. На первый взгляд это кажется нереалистичной моделью; Конечно, маловероятно, что злоумышленник сможет убедить человека-криптографа зашифровать открытые тексты с помощью множества секретных ключей, связанных каким-либо образом.

КАСУМИ [ править ]

KASUMI - это восьмицилиндровый 64-битный блочный шифр со 128-битным ключом. Он основан на MISTY1, ^[1] и был разработан, чтобы сформировать основу алгоритмов конфиденциальности и целостности 3G .

Марк Бланден и Адриан Эскотт описали различные ключевые атаки на пять и шесть раундов KASUMI. Дифференциальные атаки были введены Бихамом и Шамиром. Связанные ключевые атаки были впервые введены Бихамом. ^[2] Атаки с использованием дифференциальных ключей обсуждаются в Kelsey et al. ^[3]

WEP [ править ]

Важным примером криптографического протокола, отказавшего из-за атаки с использованием связанных ключей, является Wired Equivalent Privacy (WEP), используемый в беспроводных сетях Wi-Fi . Каждый клиентский сетевой адаптер Wi-Fi и точка беспроводного доступа в сети с защитой WEP используют один и тот же ключ WEP. Шифрование использует алгоритм RC4 , потоковый шифр . Важно, чтобы один и тот же ключ никогда не использовался дважды с потоковым шифром. Чтобы этого не происходило, WEP включает 24-битный вектор инициализации.(IV) в каждом пакете сообщения. Ключ RC4 для этого пакета - это IV, сцепленный с ключом WEP. Ключи WEP необходимо менять вручную, что обычно случается нечасто. Таким образом, злоумышленник может предположить, что все ключи, используемые для шифрования пакетов, имеют один ключ WEP. Этот факт открыл WEP для серии атак, которые оказались разрушительными. Самый простой для понимания использует тот факт, что 24-битный IV допускает лишь немногим менее 17 миллионов возможностей. Из-за парадокса дня рождения вполне вероятно, что на каждые 4096 пакетов два будут иметь один и тот же IV и, следовательно, один и тот же ключ RC4, что позволит атаковать пакеты. Более разрушительные атаки используют некоторые слабые ключи в RC4 и в конечном итоге позволяют восстановить сам ключ WEP. В 2005 году агенты из СШАФедеральное бюро расследований публично продемонстрировало способность делать это с помощью широко доступных программных средств примерно за три минуты.

Предотвращение атак связанных ключей [ править ]

Один из подходов к предотвращению атак с использованием связанных ключей заключается в разработке протоколов и приложений таким образом, чтобы ключи шифрования никогда не имели простой связи друг с другом. Например, каждый ключ шифрования может быть сгенерирован из основного материала ключа с использованием функции деривации ключа .

Например, замена WEP, защищенный доступ Wi-Fi (WPA), использует три уровня ключей: главный ключ, рабочий ключ и ключ RC4. Главный ключ WPA используется совместно с каждым клиентом и точкой доступа и используется в протоколе, называемом Temporal Key Integrity Protocol (TKIP), для создания новых рабочих ключей достаточно часто, чтобы предотвратить известные методы атаки. Затем рабочие ключи объединяются с более длинным 48-битным IV, чтобы сформировать ключ RC4 для каждого пакета. Эта конструкция имитирует подход WEP в достаточной степени, чтобы можно было использовать WPA с сетевыми картами Wi-Fi первого поколения, некоторые из которых реализовали части WEP на оборудовании. Однако не все точки доступа первого поколения могут использовать WPA.

Другой, более консервативный подход - использовать шифр, предназначенный для предотвращения атак связанных ключей в целом, обычно путем включения строгого расписания ключей . В более новой версии Wi-Fi Protected Access, WPA2, частично по этой причине используется блочный шифр AES вместо RC4. Существуют атаки с использованием связанных ключей против AES , но, в отличие от атак против RC4, они далеки от практического применения, а функции генерации ключей WPA2 могут обеспечить некоторую защиту от них. Многие старые сетевые карты не поддерживают WPA2.

Ссылки [ править ]

^ Мацуи, М., "Новый алгоритм блочного шифрования MISTY", 1997
^ Бихам, Эли. «Новые типы криптоаналитических атак с использованием связанных ключей». Журнал криптологии, 7.4 (1994): 229-246.
↑ Келси, Джон, Брюс Шнайер и Дэвид Вагнер. «Криптоанализ ключевого расписания идеи, g-des, gost, safer и triple-des». Достижения в криптологии "CRYPTO'96. Springer Berlin / Heidelberg, 1996.

[1] Мацуи, М., "Новый алгоритм блочного шифрования MISTY", 1997

[2] Бихам, Эли. «Новые типы криптоаналитических атак с использованием связанных ключей». Журнал криптологии, 7.4 (1994): 229-246.

[3] Келси, Джон, Брюс Шнайер и Дэвид Вагнер. «Криптоанализ ключевого расписания идеи, g-des, gost, safer и triple-des». Достижения в криптологии "CRYPTO'96. Springer Berlin / Heidelberg, 1996.

[1]